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Einheit zur Sicherheitsuberwachung von Steuerungseinrichtungen 

Einheit zur Slchertieitsuberwachung von Steuerungs- 
einrichtungen, bet denen Speicherprogrammierbare 
StGuerungen oder Mikrorechner uber ein Bus-System de- 
zentraie Einheiten ansprechen, die einen Prozess sowoiil 
im sicherheitsrelevanten als audi im nichtstcherlieitsrele- 
vanten Bsrelch regein, steuern oder Oberwachen dadurcli 
gekennzeichnet d^zur Realia'erung der Slcherheitsan- 
forderung die Oberwachungsefnheit (2) hInzugefUgt wlrd, 
die entweder ausschiiefilich oder vorwiegend die sicher- 
heftsbehafteten Injnictionen des Prozesses (12) mit der 
notwendigen Logik zur Oberwacliung gefahrbringender 
Abtaufe oder Bewegungen (13) fiirKUgefiigt wird, die 
se\bst nur uber das Bus-System (3), welches als Standard 
erhalten bleibt und keinerlei Zusatzfunktion bedarf, eine 
Horer-Funktion erhait und damit zusatztich zum Gesamt- 
prozess adaptierbar ist, diese mit sicherheitsgerichteten 
dezentralen Einheiten (7, 9) kommuniziert und paralie! 
zum Ge^mtprozess alle Sicherheitsfunktionen iiber- 
wacht und nur Im Fehlerfall uber die dezentralen Einhei- 
ten {7, 9) Oder sonstigen Sicherheilseinrichtungen den si- 
dteren Maschinen- bzw. Aniagenzustand hertieifuhrt. 
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Beschreibung (298 24 256 J) 



Es wird eine Einheit beschrieben, die uber ein sicherheitsgerichtetes Bussystem mit 
dezentralen Komponenten kommuniziert und dabei sowohl den sicheren 
Datenverkehr als auch die Sicherheitsfunktionen ubeiwacht . 

Die hier vorgeschiagene Einheit ist in der Lage, die Steuerungseinrichtung und die 
.Sicherheitsfunktion vollkommen zu trennen. Mit der Einheit wird es mogtlch, den 
Steuerungsteil vollstSndig vorher aufzubauen, zu testen und in Betrieb zu nehmen. 
Die sicherheitsrelevanten Komponenten lassen sich dann nachtragiich hinzufiigen. 
ohne die Steueaingsfunktion zu andern, Auch nach der Installation beider System'e 
(Steuerungseinrichtung und Sicherheitssystem) lassen sich Steuerungsfuhktionen 
andern, hinzufugen oder heraustrennen, ohne dass die Sicherheitsfunktion davon 
betroffen ist insbesondere besteht die Moglichkeit, alle SicherheitsverknQpfungen im 
einzelnen unabhSngig zu prOfen. 

Diese Aufgabe wird erfindungsgemaB durch die kennzeichnenden Merkmale des 
Anspruchs 1 gelost, wShrend die weiteren Anspruche (2-10) vorteilhafte 
Auspragungen der beschrlebenen Einheit darstellen. 

In Fig. 1 ist die Funktionsweise der zu Grunde liegenden Einheit dargestellL 
Hieitei besteht das Automatisierungssystem aus einerSteuerung, einem Bus- 
System und mehreren dezentralen Komponenten, die den Prozess steuem oder 
ubenvachen, Damit steHt die Fig. 1 eine typische Einrichtung dar, die (ohne die grau 
hinterlegten Komponenten} fOr ai!e nichtsicherheitsrelevanten Systeme geeignet 
sind. Die Anordnung entspricht dem heutigen Stand derTechnik: 

Im Detail steuert oder regelt die Steuenjng (1) den gewQnscht^n Prozess. Ober das 
angeschlossene Bus-System (3) holt sie Daten vom Prozess (1 1 »12) oder gibt si'e 
Daten zum Prozess aus. Die dezentralen Einheiten (4-10) empfangen alle Daten vom 
Bus-System (3) oder stellen dem Prozess (11,12) ihre Daten zurVerfugung. Damit 
sind die dezeniialen Einheiten nur vorgelagerte Eih-/Ausgabe-Baugruppen, die ohne 
ein Bus-System als Peripheriebaugmppen in der Speicherprpgrammierbaren 
Steuerung zu finden sind. 

Die Steuerung (1 ) enthSIt ein Programm (Software) das alle 
nichtsicherheitsrelevanten Vorgange steuert oder regelt. Ferner enthait sie bererts in 

ihrem Programm auch die logischen Funktionen fDr die SicherheitsverknOpfungen, 
die fOr sicherheitsrelevante Vorgange notwendig sind. So enthait beisptelsweise der 
Prozess (11) keine aber der Prozess (12) sicherheitsrelevante Vorgange bei denen 
Bewegungen erfolgen, die eine Gefahr fQr Mensch oder Maschine darstellen (13). 
Obwohf die Steuerung (1) die notwendige LogikfQrdle Sicherheitsanforderung 
enthait, kann sie im Fehlerfa!! nicht einwandfrei reagieren, da entweder sie selbst 
Oder eine ihrer dezentralen Einheiten fehlerbehaftet sein kann, diese aber nicht 
kontrolliert werden. Das Steuerungssystem ist damit nicht in der Lage, einen Fehfer 
abzuwehren, da j'egliche Fehlererkennung fehit, 

Entsprechend der Aufgabe der Anmeldung nach Anspruch 1 werden zur Erreichung 
der sicheren Fehlerer1<ennung und zur Prozessatbschaltung die grau hinterlegten 
Komponenten hinzugefugt. 

Die Oberwachungseinheit (2) wird in der Funktion eines Horers (Listener) an den Bus 
angeschlossen. Sie braucHt damit nicht von der Steuerung berucksichtigt zu werden, 



da sie nur passw sich der Dat§n des Bus-Systems (3) bedient. Die , 
Obeiwadiungseihheit (2) ist Qber - die auf dem Bus laufenden Daten - Qber al!e 
Zust3nde und Ablaufe im Prozess und insbesondere Qber die ZustSnde der 

ProzessgrSBen informlert. 

Im Prinzip ist sie damit in der Lage, die sicherheitsreievanten Zustande zu 
QberprQfen. Zur BewSltigung dfeser Aufgabe enthait sie ein einfaches Programm daS 
nur die Sicherheitsfunktionen ais Logik Dberwacht (Z.B.: Gitterkontroiie, ' 
AntetifQberwacliung, Endschaltertest, usw.). Im Fehterfall der Steuerung (1) kann 
damIt die Ubefwachungseinheit (2) geeignete Ma&nahmen ergreifen. 
Diese Feiiierei^cennung funktioniert jedoch nur dann, wenn die Steuerungseihheit (1) 
als Verursacher fungiert. Fehler in den dezentralen Einheiten Oder im Prozess 
werden von beiden Einheiten (Steuemngseinheit (1) Oder Oberwachgngseinhelt (2)) 
nicht registriert. • 

Bine voilstSndige Kontrolle gelingt daher nur mtttels spezieller dezentraler Einlielten, 
die ihre eigene Funktion Oder sogar die Sensorik Im redundant Prozess abfragen. 
Eiitsprechend des Anspruchs 1 gehSren zur optimalen Funktion dieser Einlieit auch 
dezentrale Einheiten, die selbst Sicherheiteanforderungen genugen.-Hierzu geh5rt 
insbesondere die Obenvachung der e'^enen Funktion und die 
Sicherheitsabschaltung im Fehterfall (bel Ausfall des Bus-Systems (3) oder bei^ 
fehlerhaften Ein> Oder Ausgabe). 

Die ObenA^achungseinheit (2) erkennt somit eindeuttg einen Fehlar; sofern er im 
sicherheitsreievanten Programm als Loglk hinterlegt ist. Es bleibt der spezielien 
Projektierung Dberlassen, in yA/elcher Form eine geeignete Sicherheitsabschaltung 
erfbigt. Im einfachsten Fall kann die Obenwachungseinheit (2) das Bus-System (3) 
unterbrechen oder kurzschlie&en. Damit unterbindet sie die Datenubertragung und 
die dezentralen Einheiten (7, 9) fallen in einen sicheren Zustand. Denkbar Ist aber 
auch ein gezieltes Abschaiten der Stromversorgung, der entsprechenden 
Ausgab^inheit oder ein langsames Herunterfahren des Prozessablaufs. 



Schutzanspruche (298 24 256.7) 

1 . Einheit ztir SicheriieftsOberwachung von Steueriingseinrichfejngen,: bei denen 
Speicherprogrammierbare Steuerungen oder Mikrorechner uber ein Bus-System 
dezentrale Einheiten ansprechen, die einen Prozess sowohl im 
sicherheitsrelevanten a!s auch im nichtsicherheitsrelevanten Bereidi regein, 
steuern oder Uberwachen dadurch gekennzeichnet, dass zur Realisierung der 
Sioherheiteanfordemng die Oberwachungseinheit (2) hinzugefugt wird, die 
entweder ausschlieSlich oder vorwiegend die sicherheitsbeliafteten Funktionen 
des Prozesses (12) mlt der notwendigen Logik zur Oberwachung 
gefahrbringender Abteufe oder Bewegungen (13) hinzugefiigt wird, die seibst nur 
liber das Bus-System (3), welches a!s Standard erhalten bleibt und keinerlei 

' Zusatzfunktion bedarf , eine Horer-Funktion erhalt und damit zusatzlicli zum 
Gesamtprozess adaptierbar tst, diese mtt sidierheitsgerichteten dezentralen 
Einheiten (7,9) korrimuniziert und parallel zum Gesam^rozess atle 
Sicherheitsfunktionen Qbenwaoht und nurim Fehlerfall Qber die dezentralen 
Einheiten (7,9) oder sonstlgen Sicherheitseinrlchtungen den sicheren Masctimen- 
• bzw. Aniagenzustand herbeifQhrt 

2. Einheit nadh Anspruch 1 , dadurch. gekennzeichnet, dass die 
Oberwachungseinheit (2) Qber eine in der Programmiersprache festgelegten 
Logik verfOgt, die entweder ausschlieRllch oder vonwiegend Sic^eriieitsvorgange 
Obenwacht und damit redundant zur Gesamtsteuerung arbeltet. 

3. Einheit nach den Anspriichen 1 und 2, dadurch gekennzeichnet, dass die 
ObenwachungseinheH (2) auch nach der Funktlonskontrolte des nicht 
redundanten Steuemngssystems mit ihren fQr die Sicherheit notwendigen 
Abschaltfunktionen adaptierbar ist und durch ihre Sicherheitsfunktion der 
geforderte Grad an Sidierheit projektiert wferden kann. 

4. Einheit nadi den Ansprbchen 1 bis 3, dadurch gekennzefchnet, dass die 
Obenwachungseinheit (2) und die sicherheitsgerichteten dezentralen Einheiten 
(7,9) deaktiviert werden kdnnen, ohne die einkanal^e Steuerungsfunktion zu 
beeintrachtigen. 

5. Einheit nach den AnsprOchen 1 bis 4, dadurch gekennzeichnet, dass durdi eine 
bustechnische Mlth5rfunktk}n der Obenwachiingseinheit (2) keine Rtickwirkung 
auf den eigentlichen Steuemngsprozess entsteht, so dass eine weitgehende 
Trennung zwischen der Hard- und Software des nicht redundanten 
Steuerungssystems und der Sicheitieitsubenwachung ermoglicht wird. 

6. Einheit nach den AnsprOchen 1 bis 5, dadurch gekennzeichnet, dass die 
Obenwachungseinheit (2) Ober den nomialen Datenverkehr des Bus-Systems (3) 
der Steuemngseinheit (1) a!le notwendigen Zustande und Funktionen ertialt, die 
zur Obenwachung des nicht redundanten Steuerungssystems nptwendig sind. 

7. Einheit nach den AnsprQchen 1 bis 6, dadurch gekennzeichnet, dass es an 
Standardbussysteme ohne Sicherheitsprotokolienveitenjng adaptierbar bzw. 
einbindbar ist. 

8. Einheit nach den AnsprUchen 1 bis 7, dadurch gekennzeichnet, dass die 
dezentralen Einheiten, die sicherheitsrelevante Funktionen erfassen und 
ansteuern, selbst ihre Funktion Qbenwachen, mogficherweise Sensoren oder 
Aktoren redundant uberwachen und bet Ausfali einer, Funktion, beispielsweise bei 
Ausfall der Bus-Funklion, in den sichem Zustand schalten, der keine Gefahr mehr 
fur Mensch Oder Maschine.darstellt. 

9. Einheit nach den AnsprQchen 1 bis 8, dadurch gekennzeichnet, dass die 
Oberwachungseinheit (2) in einer von dem nicht redundanten Steuerungssystem 
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unabhangigen Programmier- und Parametriersprache in ihren 
Sicherheltsfunktionen generiat werden. 
1 0. Einheit nadi den AnsprOchen 1 bis 9, dadurch gekennzeichnet, dass die 
Oberwachungseinheit (2) neben der Oberwachungsfunktion auch die Bedienung 
und Programmierung mittels eiries integrierten Mensch^aschinen-lnterfaces 
eriaubt. 
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